Hierarhična varnost za nadzor dostopa

  • Članek

Model hierarhične varnosti je razširitev obstoječih varnostnih modelov, ki uporabljajo poslovne enote, varnostne vloge, skupno rabo in ekipe. Lahko se uporablja z vsemi drugimi obstoječimi varnostnimi modeli. Hierarhična varnost ponuja bolj razdrobljen dostop do zapisov za organizacijo in pomaga znižati stroške vzdrževanja.

V zapletenih scenarijih lahko na primer začnete z ustvarjanjem več poslovnih enot, nato pa dodate hierarhično varnost. Ta dodatna varnost zagotavlja bolj razdrobljen dostop do podatkov z veliko manj stroški vzdrževanja, ki jih lahko zahteva veliko število poslovnih enot.

Varnostni modeli hierarhije managerjev in hierarhije položajev

Za hierarhije je mogoče uporabiti dva varnostna modela, in sicer hierarhijo vodje in hierarhijo položajev. Pri hierarhiji upravitelja mora biti upravitelj znotraj iste poslovne enote kot poročilo ali v nadrejeni poslovni enoti poslovne enote poročila, da ima dostop do podatkov poročila. Hierarhija položaja omogoča dostop do podatkov v vseh poslovnih enotah. Če ste finančna organizacija, boste morda raje izbrali model hierarhije upraviteljev, da upraviteljem preprečite dostop do podatkov zunaj njihovih poslovnih enot. Če pa ste del storitve za stranke organizacije in želite, da vodje dostopajo do primerov storitev, ki se obravnavajo v različnih poslovnih enotah, vam bo hierarhija položajev morda bolj ustrezala.

opomba,

Čeprav model hierarhične varnosti zagotavlja določeno raven dostopa do podatkov, lahko dodaten dostop pridobite z uporabo drugih oblik varnosti, kot so varnostne vloge.

Hierarhija upravitelja

Varnostni model hierarhije upravitelja temelji na verigi upravljanja ali strukturi neposrednega poročanja, kjer se odnos upravitelja in poročila vzpostavi z uporabo polja Manager v tabeli uporabnikov sistema. S tem varnostnim modelom lahko upravitelji dostopajo do podatkov, do katerih imajo dostop njihova poročila. Lahko opravljajo delo v imenu svojih neposrednih podrejenih ali dostopajo do informacij, ki potrebujejo odobritev.

opomba,

Z varnostnim modelom hierarhije upravitelja ima upravitelj dostop do zapisov v lasti uporabnika ali ekipe, katere član je uporabnik, in do zapisov, ki so neposredno v skupni rabi z uporabnikom ali ekipo, katere član je uporabnik od. Ko uporabnik, ki je zunaj verige upravljanja, deli zapis z neposrednim podrejenim uporabnikom z dostopom samo za branje, ima upravitelj neposrednega podrejenega le dostop samo za branje do skupnega zapisa.

Ko ste omogočili možnost Evidentiranje lastništva med poslovnimi enotami , lahko upravitelji neposredno poročajo iz različnih poslovnih enot. Uporabite lahko naslednje nastavitve zbirke podatkov okolja, da odstranite omejitev poslovne enote.

ManagersMustBeInSameOrParentBusinessUnitAsReports

Privzeto = res

Lahko ga nastavite na false in ni treba, da je vodstvena poslovna enota enaka kot neposredno podrejena poslovna enota.

Poleg varnostnega modela hierarhije upravitelja mora upravitelj imeti vsaj privilegij za branje na ravni uporabnika za ogled podatkov poročil. Na primer, če upravitelj nima dostopa za branje do tabele primerov, ne more videti primerov, do katerih imajo njegova poročila dostop.

Pri neposrednem poročilu v isti verigi upravljanja kot upravitelj ima upravitelj dostop samo za branje do podatkov neposrednega poročila. Za neposredno poročilo ima upravitelj dostop do podatkov poročila za branje, pisanje, dodajanje, dodajanje. Za ponazoritev varnostnega modela hierarhije upravitelja si oglejmo naslednji diagram. Izvršni direktor lahko bere in posodablja podatke podpredsednika prodaje in podatke podpredsednika storitev. Vendar lahko generalni direktor bere le podatke vodje prodaje in podatke vodje storitev ter podatke o prodaji in podpori. Z globino lahko dodatno omejite količino podatkov, do katerih ima dostop upravitelj. Globina se uporablja za omejitev, koliko ravni ima upravitelj dostop samo za branje do podatkov svojih poročil. Na primer, če je globina nastavljena na 2, lahko izvršni direktor vidi podatke podpredsednika prodaje, podpredsednika storitev ter vodje prodaje in storitev. Vendar izvršni direktor ne vidi podatkov o prodaji ali podatkov o podpori.

Posnetek zaslona, ​​ki prikazuje hierarhijo upravitelja. Ta hierarhija vključuje izvršnega direktorja, podpredsednika prodaje, podpredsednika storitve, vodje prodaje, vodje storitev, prodajo in podporo.

Pomembno je omeniti, da če ima neposredno podrejeni globlji varnostni dostop do tabele kot njegov upravitelj, upravitelj morda ne bo mogel videti vseh zapisov, do katerih ima neposredno podrejeni dostop. To ponazarja naslednji primer.

  • Ena poslovna enota ima tri uporabnike: Uporabnik 1, Uporabnik 2 in Uporabnik 3.

  • Uporabnik 2 neposredno poroča uporabniku 1.

  • Uporabnik 1 in uporabnik 3 imata dostop za branje na ravni uporabnika v tabeli računa. Ta raven dostopa uporabnikom omogoča dostop do lastnih zapisov, zapisov v skupni rabi z uporabnikom in zapisov v skupni rabi z ekipo, katere član je uporabnik.

  • Uporabnik 2 ima dostop za branje poslovne enote v tabeli Račun. Ta dostop omogoča uporabniku 2 ogled vseh računov za poslovno enoto, vključno z vsemi računi v lasti uporabnika 1 in uporabnika 3.

  • Uporabnik 1 ima kot neposredni upravitelj uporabnika 2 dostop do računov, ki so v lasti ali v skupni rabi z uporabnikom 2, vključno z računi, ki so v skupni rabi ali v lasti drugih skupin uporabnika 2. Vendar uporabnik 1 nima dostopa do računov uporabnika 3, čeprav ima lahko njihov neposredni podrejeni dostop do računov uporabnika 3.

Hierarhija položaja

Hierarhija položajev ne temelji na strukturi neposrednega poročanja, kot je hierarhija vodje. Uporabnik ne rabi biti dejanski upravitelj drugega uporabnika, če želite dostopati do podatkov uporabnika. Kot skrbnik določite različna delovna mesta v organizaciji in jih uredite v hierarhiji položajev. Nato dodate uporabnike na poljubno dano pozicijo ali, kot tudi rečemo, označite uporabnika z določeno pozicijo. V dani hierarhiji je mogoče uporabnika označiti le z enim položajem, vendar je položaj mogoče uporabiti za več uporabnikov. Uporabniki na višjih položajih v hierarhiji imajo dostop do podatkov uporabnikov na nižjih položajih, in sicer po neposredni poti prednika. Neposredni višji položaji imajo dovoljenja za branje, pisanje, prilaganje in prilaganje v podatke na nižjih položajih po neposredni poti prednika. Neposredni višji položaji imajo dostop samo za branje do podatkov nižjih položajev v neposredni poti prednika.

Za ponazoritev koncepta neposredne poti prednika si oglejmo naslednji diagram. Položaj vodje prodaje ima dostop do prodajnih podatkov, nima pa dostopa do podpornih podatkov, ki so na drugi poti prednika. Enako velja za delovno mesto serviserja. Nima dostopa do prodajnih podatkov, ki so na prodajni poti. Tako kot v hierarhiji upraviteljev lahko omejite količino podatkov, ki so dostopni višjim položajem globina. Globina omejuje, koliko ravni ima višji položaj dostop samo za branje do podatkov nižjih položajev v neposredni poti prednika. Na primer, če je globina nastavljena na 3, lahko položaj izvršnega direktorja vidi podatke vse od položajev podpredsednika prodaje in podpredsednika storitev do položajev prodaje in podpore.

Posnetek zaslona, ​​ki prikazuje hierarhijo položajev. Ta hierarhija vključuje izvršnega direktorja, podpredsednika prodaje, podpredsednika storitve, vodje prodaje, vodje storitev, prodajo in podporo.

opomba,

Z varnostjo hierarhije položaja ima uporabnik na višjem položaju dostop do zapisov, ki so v lasti uporabnika na nižjem položaju ali ekipe, katere član je uporabnik, in do zapisov, ki so neposredno v skupni rabi z uporabnikom ali ekipo, ki uporabnik je član.

Poleg varnostnega modela hierarhije položaja morajo imeti uporabniki na višji ravni vsaj privilegij branja na ravni uporabnika v tabeli, da vidijo zapise, do katerih imajo dostop uporabniki na nižjih položajih. Na primer, če uporabnik na višji ravni nima dostopa za branje do tabele primerov, ta uporabnik ne bo mogel videti primerov, do katerih imajo dostop uporabniki na nižjih položajih.

Nastavljanje hierarhične varnosti

Za nastavitev varnosti hierarhije se prepričajte, da imate dovoljenje sistemskega skrbnika za posodobitev nastavitve.

Hierarhična varnost je privzeto onemogočena. Če želite omogočiti varnost hierarhije, izvedite naslednje korake.

  1. Izberite okolje in se pomaknite do možnosti Nastavitve>Uporabniki in dovoljenja>Hierarhična varnost.

  2. Spodaj Hierarhični model, izberite bodisi Omogoči model hierarhije upravitelja oz Omogoči model hierarhije položaja odvisno od vaših zahtev.

    Pomembno

    Če želite spreminjati karkoli v možnosti Hierarhična varnost, morate imeti pravico Spremeni nastavitve hierarhične varnosti.

    V Upravljanje hierarhičnih tabel območju so vse sistemske tabele privzeto omogočene za varnost hierarhije, vendar lahko izbrane tabele izključite iz hierarhije. Če želite določene tabele izključiti iz hierarhičnega modela, počistite potrditvena polja za tabele, ki jih želite izključiti, in shranite spremembe.

    Posnetek zaslona strani Hierarchy Security v nastavitvah za okolja.

  3. Nastavite Globina na želeno vrednost, da omejite, koliko ravni ima upravitelj dostop samo za branje do podatkov svojih poročil.

    Na primer, če je globina enaka 2, lahko upravljavec dostopa samo do svojih računov in računov poročil globoko dve ravni. V našem primeru, če se prijavite v aplikacije za vključevanje strank kot neskrbniški podpredsednik prodaje, vidite samo aktivne račune uporabnikov, kot je prikazano:

    Posnetek zaslona, ​​ki prikazuje dostop za branje za podpredsednika prodaje in druge položaje.

    opomba,

    Če hierarhična varnost podpredsedniku prodaje omogoča dostop do zapisov v rdečem pravokotniku, je dodaten dostop morda na voljo glede na varnostno vlogo, ki jo ima podpredsednik prodaje.

  4. V Upravljanje hierarhičnih tabel vse sistemske tabele so privzeto omogočene za varnost hierarhije. Če želite določeno tabelo izključiti iz hierarhičnega modela, počistite kljukico poleg imena tabele in shranite spremembe.

    Posnetek zaslona, ​​ki prikazuje, kje nastaviti varnost hierarhije v nastavitvah novega, sodobnega uporabniškega vmesnika.

    Pomembno

    • To je funkcija predogleda.
    • Poskusne funkcije niso za komercialno uporabo, njihovo delovanje je lahko omejeno. Te funkcije so na voljo še pred uradno izdajo, da lahko stranke predčasno dostopajo do njih in posredujejo povratne informacije.

Nastavite hierarhije upraviteljev in položajev

Hierarhijo upravitelja je enostavno ustvariti z uporabo odnosa upravitelja v zapisu uporabnika sistema. Upravitelja uporabnika določite z iskalnim poljem upravitelja (ParentsystemuserID). Če ste ustvarili hierarhijo položajev, lahko uporabnika tudi označite z določenim položajem v hierarhiji položajev. V naslednjem primeru prodajalec poroča vodji prodaje v vodstveni hierarhiji in ima tudi prodajni položaj v hierarhiji položajev:

Posnetek zaslona, ​​ki prikazuje uporabniški zapis prodajalca.

Če želite dodati uporabnika na določen položaj v hierarhiji položajev, uporabite polje za iskanje z imenom Pozicija na obrazcu zapisa uporabnika.

Pomembno

Če želite dodati uporabnika na položaj ali spremeniti položaj uporabnika, morate imeti pravico Dodeli položaj za uporabnika.

Posnetek zaslona, ​​ki prikazuje, kako dodati uporabnika na položaj v Hierarchy Security

Če želite spremeniti položaj na obrazcu zapisa uporabnika, v navigacijski vrstici izberite Več (…) in izberite drug položaj.

Sprememba položaja v hierarhični varnosti

Če želite ustvariti hierarhijo položajev:

  1. Izberite okolje in se pomaknite do možnosti Nastavitve>Uporabniki in dovoljenja>Položaji.

    Za vsak položaj navedite ime položaja, nadrejeni položaj in opis. Uporabnike na ta položaj dodajte z iskalnim poljem Uporabniki v tem položaju. Naslednja slika je primer hierarhije položajev z aktivnimi položaji.

    Aktivni položaji v hierarhični varnosti

    Primer omogočenih uporabnikov z njihovimi ustreznimi položaji je prikazan na naslednji sliki.

    Posnetek zaslona, ​​ki prikazuje omogočene uporabnike z dodeljenimi položaji.

Vključite ali izključite zapise v lasti neposrednega poročila s statusom onemogočenega uporabnika

Vodje si lahko ogledajo svoje zapise neposrednega poročila o onemogočenem stanju za okolja, kjer je po 31. januarju 2024 omogočena hierarhična varnost. Za druga okolja zapisi neposrednega poročila o onemogočenem stanju niso vključeni v pogled upravitelja.

Če želite vključiti zapise neposrednega poročila o onemogočenem stanju:

  1. Namestite orodje OrganizationSettingsEditor.
  2. Posodobite nastavitev AuthorizationEnableHSMForDisabledUsers na true.
  3. Onemogoči Modeliranje hierarhije.
  4. Ponovno ga omogočite.

Če želite izključiti zapise neposrednega poročila o onemogočenem stanju:

  1. Namestite orodje OrganizationSettingsEditor.
  2. Posodobite nastavitev AuthorizationEnableHSMForDisabledUsers na false.
  3. Onemogoči Modeliranje hierarhije.
  4. Ponovno ga omogočite.

opomba,

  • Ko onemogočite in znova omogočite modeliranje hierarhije, lahko posodobitev traja nekaj časa, saj mora sistem znova izračunati dostop do zapisov upravitelja.
  • Če opazite časovno omejitev, zmanjšajte število tabel na seznamu Upravljanje hierarhičnih tabel , da vključite samo tabele, ki si jih mora ogledati upravitelj. Če časovna omejitev ne mine, pošljite prijavo podpori, da zahtevate pomoč.
  • Zapisi neposrednega poročila o onemogočenem stanju so vključeni, če so ti zapisi v skupni rabi z drugim aktivnim neposrednim poročevalcem. Te zapise lahko izključite tako, da odstranite deljenje.

Ukrepi za izboljšanje učinkovitosti delovanja

Za izboljšanje učinkovitosti delovanja priporočamo:

  • Ohranite učinkovito hierarhično varnost do 50 uporabnikov ali manj pod vodjo ali položajem. Vaša hierarhija ima morda več kot 50 uporabnikov pod upraviteljem ali položajem, vendar lahko uporabite nastavitev Globina , da zmanjšate število ravni za dostop samo za branje in s to omejitvijo dejansko število uporabnikov pod vodjo ali položajem na 50 uporabnikov ali manj.

  • Uporabite hierarhične varnostne modele z drugimi obstoječimi varnostnimi modeli za bolj zapletene scenarije. Da se izogibate ustvarjanju velikega števila poslovnih enot in namesto tega ustvarite man poslovnih enot in dodate hierarhično varnost.

Glejte tudi

Varnost v storitvi Microsoft Dataverse
Poizvedba in upodobitev hierarhičnih podatkov